По словам разработчиков, странные подключения Nord*** являются частью механизма для обхода блокировок. Исследователи безопасности и пользователи всерьез обеспокоены странным поведением Nord***, которое разработчики приложения не могут толком объяснить. Как оказалось, Nord*** подключается к странным доменам подобно тому, как скомпрометированные системы подключаются к C&C-серверам ботнетов. О том, что происходит что-то неладное, первым сообщил читатель сетевого издания The Register по имени Дэн (Dan). Установленные в его офисной сети решения безопасности вдруг начали выдавать предупреждения о подозрительном трафике с ноутбука одного из посетителей. Как показал анализ записей журнала, устройство подключалось к нескольким «мусорным» доменам. Странный трафик также был обнаружен исследователем безопасности Райаном Нимесом (Ryan Niemes). Однако Нимес выявил еще одну вещь – у подозрительных доменов отсутствовал владелец. Исследователь купил их и запустил EC2 с целью выяснить, что же на самом деле происходит. Запустив команду netstat, он увидел подключение к порту 443. «Я зарегистрировал сертификат Letsencrypt и стал наблюдать за появлением записей в журнале», – сообщил Нимес. Исследователь в частном порядке уведомил разработчиков Nord*** о своей находке, и в качестве благодарности получил три года бесплатной подписки. Разработчики пообещали исправить проблему, однако после выхода обновлений подозрительные подключения никуда не делись. Нимес установил обновленную версию Nord*** для тестирования и обнаружил входящие подключения, устанавливаемые клиентами с «Nord***» в строках user-agent. Исследователь обнаружил внутри HTTPS-трафика запросы API уже к другим доменам. «Обнаруженные мною POST-запросы вызывают опасения, так как поле renewtoken является уникальным», - заметил Нимес. По его словам, строка user-agent и запросы раскрывали версию приложения, сборку ОС хоста и адрес IPv4 пользователя. Как заявляют в Nord***, подключение к странным доменам является частью механизма для обхода блокировок.